1Steam账号被盗:我与盗号者周旋的一周
前言:世上没有绝对的安全,不要侥幸的认为自己账号安全措施已经做足就不用担心被盗号,最安全防止被盗的 *** 是不用互联网。
至发稿时,被盗账号已经找回,希望这篇文章能给正在经受盗号困扰的朋友一个帮助,给大家一个警醒的作用。
Steam账号被盗始末
账号情况:超大陆与朋友共用一个Steam号,用于游玩各种不需要联机的游戏,两人已经约定不将账号借出,账户至今已经购入了3000 人民币的游戏与软件(有些游戏是原价购买的,实际数额可能更多),Steam的初始邮箱绑定在他 *** 号上,没有开启手机令牌。
▼账号被盗:没有提高警惕而被有机可乘
在2月27日时候,超大陆发现Steam账户首次出现密码错误无法登陆的情况,想到此前曾有朋友修改密码而没有告知我的先例,遂询问朋友,但也没有头绪。
无法登陆Steam
因为两人均长时间未登陆该账号,且没有Steam账号被盗的经验,故放松了警惕,只是修改了密码就没有理会其他异常的地方。
期间朋友告知我在闲鱼出租过他的 *** 号,内心想着Steam跟 *** 没什么关系,当时也没有将这件事上心。而万万料想不到,正是因为忽视了这件事,造成了这次事故的发生。
之后Steam账号正常使用了一周,直到3月7日下午我尝试登陆Steam账号,又出现了无法登陆,密码错误的情况,这次我提高了警惕,进行了一系列的账号找回措施,发现了大量蛛丝马迹,至此确认账号已经被盗。
▼找回账号之路:错过黄金时间,找回过程异常艰难
当你还没有手忙脚乱的时候,你永远不知道事情的严重性。
后续找回过程相当麻烦,因为已经错过了找回账号的黄金时间(2月18日已经被更改过绑定邮箱,直到3月8日朋友才发现邮箱中有修改绑定邮箱的邮件),朋友误操作导致Steam找回次数过多而耽误时间,各种情况综合起来大大增加找回账号的难度。
虽然Steam的机制是:只要有初始邮箱,就能保证百分之百能找回自己的账号,但一切都是因为平时接触的经验很少,我跟朋友也没有之一时间通过该方式去找回账号,在开始时陷入了慌乱之中。
在找回账号前,我先按照网上找到的被盗号后找回的 *** ,浏览了一遍朋友 *** 邮箱的设置,结果还真让我发现了:邮件自动转发的地方有一个不认识的邮箱号,询问朋友也不知道,可以断定这就是盗号者的收件邮箱号。
什么是邮件自动转发?
假设邮箱A中“邮件自动转发”填上邮箱B并打开该功能,邮箱A收到邮件会自动向邮箱B转发,即:邮箱B可收到邮箱A的Steam认证邮件。
同时,盗号者可在下拉框中设置“转发后删除邮件”,邮箱B即可悄无声息的盗走认证邮件。
将邮件中的盗号者账号发给朋友后,把邮件转发功能关闭,暂时确保目前之一步的安全。同时向朋友说明,不要惊动盗号者,因为号在他手中,在账号还没锁定的情况下惊动他可能会对账号做出不可逆转的事情。
3月8日才发现的2月18日更改邮箱邮件
锁定账户令其无法继续登录
仔细寻找邮箱,发现了2月18日收到的Steam更改邮箱邮件,于是立刻将账户停用,让任何人都无法继续登录该账号操作,这下账号暂时安全了。
提交的证据截图附件
之后,就是漫长的与Steam *** 交流过程,提供了所有能证明账户是属于自己的证据后,能做的就只有等待 *** 的回复。朋友也已经到当地警局报警,但被告知游戏虚拟财产不太好搞,要等待 *** 那边找回处理完毕后再作处理。
虽然描写找回账号的篇幅比较少,但实际操作起来,找资料、联系朋友与 *** 花费的时间是比较久的(因为并不是实时回复),全程下来心力交瘁。
所幸我们保存的证据充分,在3月11日Steam *** 就回复了我们的申诉要求,并将账户密码资料重置,至此账号成功找回。但不幸的是账号上的好友已经被删除干净,猜测盗号者可能是想着删干净好友后把号卖掉。
最后给大家看个吃瓜聊天记录,在我朋友说完最后一句话的时候对面就把我朋友删了拉黑,应该就能实锤是盗号者本人了。
2你还以为你的账号很安全吗?
享受着方便的互联网,你是否意识到其中的安全问题
注册个论坛号,用一下 *** 快捷登陆,不用点键盘就能注册了;、支付宝很多平台都要绑定手机,拿自己唯一一个主号注册就OK了,又方便自己管理;Steam、Origin、Uplay要绑定注册邮箱,全拿大号 *** 邮箱注册,不用开小号重新注册麻烦……
你享受着这种“一键注册”的 *** 带来的便捷,却可有一日想过:一旦你泄露了其中一个手机号或者是邮箱,就会导致你所有的账号一起承受风险?
在这次的事故当中,朋友出租了自己的 *** 号,本来他只认为“出租账号的活动范围只有腾讯的《穿越火线》游戏”,却也忽略了租号的人已经拥有了该账户的短期所有权,该 *** 号注册的所有账户他都能获得使用权限,导致了这次Steam被盗事件的发生。事后我与他商量,号找回后将它绑定至我新建立的一个谷歌邮箱,设置上手机令牌,并检查过初始邮箱确保没有可疑情况。
事件的发生,我与朋友都有错,平时没有注重安全保密而酿成悲剧。但这种一个账号通用N个平台带来的账户安全问题,我认为能引起现在很多人的思考。
随便网上搜一搜我的账号就能出来一堆与我有关的链接
相信很多人都曾在搜索引擎上搜过自己的名字,自己的手机号,或者是自己的各种虚拟资料,这就是最简单的“人肉”。可能你会被搜出的一堆与你个人信息吻合的资料吓一跳,而自己都能轻易获得如此多的资料,试想一下你的资料落入至别有用心的坏人手里,只要知道你的一个手机号,就能将你的身份信息, *** 支付宝各种社交账号一一扒光,听着是不是很渗人?
21世纪的互联网就是如此“开放”,只要你在网上留下蛛丝马迹,别人就有机会将你的资料找出,平时是不是经常收到垃圾信息、垃圾邮件、骚扰 *** ?这已经代表你的部分信息已经泄露得差不多了。没收到的也不用侥幸,坊间有句话:“你没有接到骚扰 *** 是因为骗子打 *** 要一个个来,还没轮到你”。
3Steam账号找回不求人 最全攻略送上
附录:个人整理的Steam账号被盗找回 ***
预防才是更好的治疗,防守就是更好的进攻。花多点时间做足力所能及的安全措施比起事后补救要有效得多。
▼首先:如何保管好自己的账号
一、使用Steam令牌
Steam令牌有两种:手机与邮箱,手机令牌作用同 *** 令牌,要进行敏感操作时必须验证令牌验证码(如异地登陆,修改资料等),因为手机随身携带,且令牌会随时更换验证码,只要不泄露账号信息给别人就无法获取到账号的Steam令牌。
邮箱令牌会在进行敏感操作时发送验证码,一定程度上也能保障安全。
弊端:绑定邮箱与Steam令牌相关文件被盗取与接触各种恶意软件将使Steam令牌形同虚设。
二、保护Steam初始邮箱与绑定邮箱的安全
初始邮箱拥有更高权限,因为它能证明该账号与邮箱是绑定的关系,谁拥有初始邮箱的权限谁就相当于拥有账号的所有权(改密码,改绑手机,改绑邮箱)。
保护初始邮箱的安全,能更大限度提高账户的安全性与出事后找回的可能性。
划重点:1、建议不使用各种与你常用账户绑定的邮箱(如 *** 邮箱,用常用手机号注册的邮箱),建议新建一个空号或用不常用手机号注册。
2、邮箱设置多步认证(如果有),即输入密码后验证手机号是否为本人,设置专用密码验证等。
3、邮箱自动转发功能要确保关闭!
三、不手贱乱打开不认识的链接与软件
十几年前惯用的诈骗伎俩到现在依然活跃在互联网中,这种“钓鱼邮件”一般都会用非常吸引人的借口来引诱用户打开假冒网站,盗取账户信息。这里就需要用户了解正规的网站网址是怎样的了。
一般来说Steam的后缀是steampowered.com或steamcommunity.com,如果你认为你即将访问的网站不安全,就不要输入你的账号信息了。
四、不要在其他设备上保存登录信息
五、不要乱出租账号
账号本来就不允许多人使用,很多游戏官方都强调过:租借账号造成的损失由玩家自行承担。出租给别人玩,就算没被人盗号,租给一些图谋不轨的人可能还会在游戏里开挂把账号封掉,担不起这个损失。
六、不要在不明来历的Steam客户端登陆
这项主要是针对网吧这类“魔改版”Steam来说,一般你们在网吧看到的各种附带加速器广告的Steam都算是“魔改版”。如果真的要去网吧登陆Steam的话,建议自行从官网下载一个版本使用。
七、保护好自己的账号凭证
账号被盗后,需要有效资料才能让 *** 有充分证据相信这是你的账号,如购买凭证,支付记录等。妥善保护自己的凭证,不让人盗走能更大限度降低账号被盗的风险。
▼出事后找回账号的 ***
在寻找账号被盗后的解决 *** 中花费了我不少的时间,这里将我了解到的资料做了一个整理,有需要的同学可以保存并日后使用,不过我希望你们一辈子都用不上这页资料。以下 *** 请对号入座,迷惑的朋友可以直接按顺序操作一遍,基本上能让你有99%的机会找回账号。
一、寻找一部安全干净的设备,立刻登陆自己的Steam账号初始邮箱并检查设置
确保自己能登陆上初始邮箱,如果登陆不上邮箱那基本凉了一半,更好寻找办法将邮箱号找回。如果实在登陆不上,有购买记录截图那还是留有部分希望的(如果有人真的卡在这个步骤的,直接跳转至申诉部分继续阅读)。
检查邮箱的设置,是否开启了邮件转发功能,收信规则被填写,拉黑了Steam邮件这类设置,如果有就要立刻关掉/删除,确保邮箱能接收邮件并不会泄露。给邮箱设置更多的安全措施(如二级密码),保护邮箱安全。
二、寻找修改邮箱的邮件,并将账户锁定
只要修改了Steam的绑定邮箱,就肯定会给此前绑定的邮箱发送一份换绑邮件,里面有锁定账户的选项,不用犹豫,直接锁定就完事了,这能阻止盗号者对账号进行进一步的破坏。
三、准备资料,进行账户申诉
邮件中的这种购买记录 你支付平台的交易截图
你需要准备的资料:购买游戏后发送至邮箱的支付确认邮件,支付游戏时的交易平台截图(,支付宝,银行卡等),不管日期多久,只要有,你的找回成功率就会直线上升。
四、数额较大,报警处理
对于虚拟财产被盗,只要额度达到2000元以上,可以尝试报警处理,需要准备充足的证据以便警方进行立案,不过要抱着可能性不大的想法,毕竟虚拟财产要追寻来源比较难,也没有相关法律保障虚拟财产的权益,主要还是要依靠Steam *** 的力量找回账号。
前面三项完成后,恭喜你来到最折磨人的步骤:与Steam *** 进行人工申诉。
Steam *** 并不是即时回复,你发送找回资料后,Steam *** 需要一定的时间进行审核,少则半天,长就不知道多长了。
填写备注时,我个人推荐使用英文写说明,之一次我用中文写申诉的时候Steam并没有给我反馈,后续用英文写回复得就比较快而且清晰。Steam *** 说实话人还挺好的,大家也不用担心遇到比较难沟通的情况,只需要如实说明即可。
最后,申诉成功的话Steam客户会将你密码重置并在之一时间给你发邮件,马上修改你的密码并按照上面的保护措施来加强自己账号的安全程度。
没有绝对的安全,你能做的就是提高警惕,stay sharp。
Hackernews 编译,转载请注明出处: SonicWall 发布了安全更新,其中包含一个跨多个防火墙设备的关键漏洞,未经身份验证的远程攻击者可以将其武器化,以执行任意代码并导致拒绝服务(DoS)情况。 根据CVE-2022-22274 (CVSS 得分: 9.4)的跟踪记录,...
欧盟准备在周五公布一项具有里程碑意义的法律,该法律将迫使大型科技公司更积极地监管其平台的非法内容,这是监管机构遏制大型科技集团权力的最新举措。 据四位知情人士透露,《数字服务法》(DSA)将禁止根据用户的宗教信仰、性别或性取向对用户进行分类和内容定位。DSA是一个立法方案,首次为大型科技公司如何保证...
据称,一个黑客组织泄露了微软37GB的源代码,这些代码与包括Bing和Cortana在内的数百个项目有关,这是一系列重大网络安全事件中的最新一起。Lapsus$黑客组织在周一晚上公开发布了一个9GB的压缩文件。据称,该7zip档案包含了从微软获得的250多个内部项目。 据称这些数据来自微软的Az...
现在已经打了补丁的Pegasus iPhone攻击是近年来看到的最复杂的攻击之一。在研究了多次成为头条新闻的iMessage安全漏洞后,来自Project Zero的Google研究人员将其描述为“技术上最复杂的漏洞之一”。 他们称,NSO集团的工具在复杂程度上跟民族国家间谍工具不相上下。而NSO...
时间已正式迈入 2022 年,分析公司 Chainalysis 表示在过去一年中与加密货币有关的犯罪达到了历史最高水平,非法地址获得了惊人的 140 亿美元。收到的绝大部分资金是通过诈骗、盗窃和暗网市场获得的,而另一个不断增长的被盗资金来源则是赎金。 非法资金从 2020 年的 78 亿美...
NSO的Pegasus(飞马)iPhone黑客是今年最重要的科技争议之一。过去几个月的几份报告揭示了一个令人难以置信的复杂的iPhone黑客攻击活动。Pegasus允许国家行为者通过使用零日攻击来监视使用iPhone的特定人物目标。 受害者甚至不需要点击信息中的链接来安装PegASUS间谍软件程序...